Claude EU-Hosting: EU-Datenverarbeitung mit Claude unter der DSGVO
Kann Claude auf EU-Servern betrieben werden?
Ja, aber nicht ueber claude.ai direkt. EU-Datenverarbeitung mit Claude ist ausschliesslich ueber AWS Bedrock (Frankfurt, Irland, Paris) oder Google Cloud Vertex AI moeglich. Der direkte Anthropic-API-Weg verarbeitet Daten in den USA und setzt SCCs als Transfermechanismus ein.
- claude.ai und die direkte Anthropic API bieten keine EU-only-Option.
- AWS Bedrock eu-central-1 (Frankfurt) ist der bevorzugte Weg fuer deutsche Unternehmen.
- Google Cloud Vertex AI bietet EU-Regionen in Belgien, den Niederlanden und Polen.
- Microsoft 365 Copilot und Claude ist seit Januar 2026 explizit von der Microsoft EU Data Boundary ausgenommen.
Claude EU-Hosting bedeutet: Wer sicherstellen will, dass Claude-Verarbeitungen auf EU-Servern stattfinden, kann das nicht ueber claude.ai oder die Anthropic API direkt erreichen. Die beiden einzig bestaetigten EU-Infrastrukturwege sind Claude ueber AWS Bedrock (Frankfurt eu-central-1, Irland eu-west-1, Paris eu-west-3) und Claude ueber Google Cloud Vertex AI mit EU-Regionen. Beim direkten Zugang ueber claude.ai oder die Anthropic API findet die Verarbeitung standardmaessig in den USA statt; der Transfermechanismus nach Kapitel V DSGVO sind Standardvertragsklauseln (SCCs) — ob diese fuer Ihren Einsatz ausreichen, haengt von den Datenkategorien und Ihrem Risikoprofil ab.
Das ist fuer Unternehmen in Deutschland und der DACH-Region relevant, die der DSGVO unterliegen, in regulierten Branchen taetig sind oder vertragliche Zusagen zur EU-lokalen Verarbeitung gegeben haben. Die Architekturentscheidung und die rechtliche Pruefung muessen dabei zusammen betrachtet werden.
Die drei Bereitstellungswege — und was sie fuer die EU-Datenlokation bedeuten
Nicht jede Claude-Bereitstellung ist unter der DSGVO gleichwertig. Die Tabelle unten ordnet die vier Hauptwege nach Datenlokation und EU-only-Moeglichkeit:
| Bereitstellungsweg | Datenlokation Standard | EU-only moeglich? | AVV-Weg | Typischer Einsatz |
|---|---|---|---|---|
| claude.ai / Claude.com direkt | USA standardmaessig | Keine dedizierte EU-Option | Anthropic AVV (Team/Enterprise) | Einzel- und Team-Produktivitaet |
| Anthropic API direkt | USA standardmaessig | Keine dedizierte EU-Option | Anthropic Commercial DPA | Eigene Integrationen, Produktentwicklung |
| Claude ueber AWS Bedrock | Regionskonfigurierbar | Ja — Frankfurt, Irland, Paris | AWS AVV + Bedrock-Modellbedingungen | Enterprise mit bestehendem AWS-Setup |
| Claude ueber Google Vertex AI | Regionskonfigurierbar | Ja — Belgien, Niederlande, Polen u.a. | Google Cloud AVV | Enterprise mit bestehendem GCP-Setup |
Der wichtigste Punkt: EU-Hosting ist eine Architekturfrage, kein Produktmerkmal, das sich per Checkbox aktivieren laesst. Unternehmen mit EU-only-Anforderungen muessen ueber Bedrock oder Vertex AI deployen und Regionskonfiguration, Cross-Region-Inference-Einstellungen sowie angebundene Dienste einzeln pruefen.
Claude ueber AWS Bedrock — EU-Regionen im Detail
Fuer die meisten deutschen Unternehmen ist AWS Bedrock eu-central-1 (Frankfurt) die primaere Option fuer EU-lokale Claude-Verarbeitung. Die Region bietet geografische Naehe, fuegt sich in bestehende AWS-Governance- und Beschaffungsrahmen ein, und AWS bestaetigt, dass Kundendaten verschluesselt und im genutzten Betrieb in der jeweiligen Region gespeichert werden.
Wichtige Punkte fuer Legal und Einkauf:
- Primaere EU-Regionen: eu-central-1 (Frankfurt), eu-west-1 (Irland), eu-west-3 (Paris)
- Cross-Region-Inference-Profile: Bedrock unterstuetzt Cross-Region-Inference fuer Verfuegbarkeit und Latenz. Ist dieses Feature aktiv, kann Inferenz in andere Regionen ausserhalb Ihrer gewaenlten Region geroutet werden. Legal-Teams sollten pruefen, ob Cross-Region-Profile in ihrer Konfiguration aktiv sind.
- Vertragswechsel: Wer Claude ueber AWS Bedrock nutzt, schliesst den Hauptauftragsverarbeitungsvertrag mit AWS, nicht mit Anthropic. Der AWS-AVV und die Auftragsverarbeiter-Bedingungen nach Art. 28 DSGVO regeln die Infrastrukturschicht — ein wesentlicher Unterschied gegenueber einem direkten Anthropic-Kauf.
- Modell-Provider-Schicht bleibt bestehen: AWS veroeffentlicht eigene Drittanbieter-Modellbedingungen fuer Bedrock. Die Bedingungen fuer Anthropic-Modelle ueber Bedrock enthalten zusaetzliche Anforderungen zu zulassigem Einsatz. Einkauf und Legal muessen beide Schichten pruefen.
Eine vollstaendige Analyse des AWS-Rechtsrahmens finden Sie in unserem AWS Bedrock AVV und DSGVO-Leitfaden.
Claude ueber Google Cloud Vertex AI — EU-Regionen
Google Cloud Vertex AI ist der zweite bestaetigte EU-Hosting-Weg fuer Claude. Google hat Claude-Modelle in mehreren EU-Regionen bereitgestellt:
- europe-west1 (Belgien)
- europe-west4 (Niederlande)
- europe-central2 (Polen)
Je nach Modellverfuegbarkeit koennen weitere Regionen erhaeltlich sein.
Rechtlich laeuft das Vertex-AI-Setup unter dem AVV und dem DSGVO-Rahmen von Google Cloud, nicht unter den Anthropic-Commercial-Terms. Zentrale Pruefpunkte:
- Pruefen Sie, ob der anwendbare Google Cloud AVV Ihren konkreten Vertex-AI-Einsatz und Ihre Datenkategorien abdeckt
- Vergewissern Sie sich, welche EU-Region fuer die genutzte Claude-Modellversion verfuegbar ist
- Pruefen Sie die Subprozessoren-Liste von Google Cloud und beurteilen Sie, ob Zugriffe aus Drittlaendern eine Drittlandexposition erzeugen
- Stellen Sie sicher, dass Ihr Google-Cloud-Vertrag die benoetigt EU-Region-Einschraenkung enthaelt, oder ob eine zusaetzliche Konfiguration erforderlich ist
Unternehmen mit etabliertem Google Cloud Framework finden Vertex AI moeglicherweise den einfacheren Weg; AWS-First-Organisationen werden in der Regel Bedrock bevorzugen.
Direkte Anthropic API — was der Vertrag zur Datenlokation sagt
Wer die Anthropic API direkt nutzt, ohne Bedrock oder Vertex AI, laesst Daten in der US-Infrastruktur von Anthropic verarbeiten. Anthropics kommerzielle DPA adressiert dies ueber Standardvertragsklauseln (SCCs) als Transfermechanismus nach Kapitel V DSGVO — konkret die EU-SCCs gemaess Durchfuehrungs-beschluss 2021/914 der Kommission.
Was das in der Praxis bedeutet:
- SCCs sind ein anerkannter Transfermechanismus, bringen aber Pflichten mit sich. Unternehmen muessen ein Transfer Impact Assessment (TIA) durchfuehren, um zu pruefen, ob die SCCs angesichts des US-Rechts und von Ueberwachungsrahmen tatsaechlich wirksamen Schutz bieten.
- Fuer viele interne Produktivitaets-Workflows mit geringem Datenschutzrisiko koennen SCCs ueber die direkte Anthropic API akzeptabel sein.
- Fuer Workflows mit besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), grossen Mengen an Kundendaten oder branchenspezifisch regulierten Daten sind TIA und vertiefte rechtliche Pruefung erforderlich, bevor man sich allein auf SCCs stuetzt.
Die Praxisregel lautet: Wenn Ihre interne Richtlinie oder Kundenvertraege EU-only-Verarbeitung voraussetzen, genuegt die direkte Anthropic API nicht. Sind SCCs fuer Ihre Daten und Ihr Risikoprofil akzeptabel, kann die direkte API funktionieren — aber diese Entscheidung braucht rechtliche Beratung, keine Beschaffungsannahme.
Microsoft 365 Copilot und Claude — die EU Data Boundary Luecke
Ein wichtiger Hinweis fuer Unternehmen, die Microsoft 365 als geografischen DSGVO-Compliance-Rahmen nutzen: Die Microsoft 365 Copilot-Integration mit Claude ist seit Januar 2026 explizit von der Microsoft EU Data Boundary ausgenommen.
Das bedeutet konkret:
- Unternehmen, die Microsoft 365 Copilot nutzen und davon ausgehen, dass alle Copilot-KI-Dienste von der Microsoft EU Data Boundary erfasst sind, irren sich — Claude ist nicht eingeschlossen.
- Wenn Ihre Datenschutz-Policy die Microsoft EU Data Boundary als geografischen Compliance-Mechanismus nutzt, koennen Sie diese Annahme nicht auf Claude ueber Copilot ausweiten.
- Microsofts eigene Dokumentation bestaetigt diesen Ausschluss. Einkauf und Datenschutzverantwortliche sollten den aktuellen Geltungsbereich der Microsoft EU Data Boundary gegenueber KI-Tool-Integrationen pruefen, bevor sie diese pauschal als EU-konform behandeln.
Dies ist ein haeufig uebersehener Punkt in Beschaffungspruefungen. Die Microsoft EU Data Boundary erfasst einen definierten Kreis von Microsoft-Diensten — Drittanbieter-KI-Modelle, die ueber Copilot integriert werden, sind nicht automatisch einbezogen.
Entscheidungshilfe — welcher Weg passt?
| Szenario | Empfohlener Weg |
|---|---|
| EU-only erforderlich, AWS-Vertrag vorhanden | Claude ueber AWS Bedrock (Frankfurt eu-central-1) |
| EU-only erforderlich, Google Cloud vorhanden | Claude ueber Vertex AI (EU-Region) |
| SCCs akzeptabel, keine EU-only-Pflicht | Direkte Anthropic API mit TIA |
| Microsoft 365 Copilot im Einsatz | EU Data Boundary deckt Claude nicht ab — separat pruefen |
| Hybrid (teils EU-only, teils nicht) | Bedrock / Vertex AI fuer EU-sensible Workflows; API fuer andere |
Die richtige Wahl haengt von Ihrer bestehenden Cloud-Infrastruktur, Ihrem Beschaffungsrahmen und den Datenkategorien ab, die Sie verarbeiten moechten. Fuer die meisten deutschen Unternehmen mit bestehendem AWS-Umfeld ist Bedrock der reibungsaermste EU-Hosting-Weg fuer Claude.
Was EU-Hosting allein nicht loest
Die Wahl eines EU-gehosteten Bereitstellungswegs ist ein notwendiger Schritt fuer die geografische Compliance — aber keine vollstaendige DSGVO-Loesung fuer sich genommen.
Auch mit Bedrock Frankfurt oder Vertex AI in der EU brauchen Sie:
- Einen gueltigen AVV (Auftragsverarbeitungsvertrag): Entweder den AWS-AVV fuer Bedrock, den Google Cloud AVV fuer Vertex AI oder den Anthropic Commercial DPA fuer den direkten Einsatz. Der Vertrag muss die tatsaechliche Verarbeitungssituation widerspiegeln.
- Eine Subprozessoren-Pruefung: AWS und Google fuehren Subprozessoren-Listen. Legal sollte sicherstellen, dass etwaige Drittlandzugriffe durch den jeweils anwendbaren Transfermechanismus gedeckt sind.
- Eine DSFA (Datenschutz-Folgenabschaetzung) wo erforderlich: Art. 35 DSGVO verlangt eine DSFA, wenn die Verarbeitung voraussichtlich ein hohes Risiko fuer betroffene Personen mit sich bringt. EU-Hosting reduziert das Transferrisiko, beseitigt aber nicht den DSFA-Ausloesungsgrund.
- Interne Nutzungsregeln: Welche Daten an Claude uebermittelt werden duerfen, von wem, unter welchen Bedingungen und mit welchen Datensparsamkeitsmassnahmen — das muss unabhaengig von der geografischen Region dokumentiert sein.
- Betriebsratsbeurteilung wo erforderlich: Gemaess § 87 Abs. 1 Nr. 6 BetrVG koennen mitarbeiterbezogene Claude-Einsaetze in Deutschland Mitbestimmungsrechte ausloesen. Das EU-Hosting hat keinen Einfluss auf diese Analyse.
Eine vollstaendige DSGVO- und Beschaffungspruefung fuer Claude finden Sie in unserem Claude Enterprise AVV-Leitfaden.
FAQ
Bietet claude.ai EU-Server an?
Nein, nicht zum Stand April 2026. Der direkte Zugang ueber claude.ai oder die Anthropic API laeuft standardmaessig ueber US-Infrastruktur. Unternehmen mit EU-only-Anforderungen koennen die Consumer- oder Standard-API-Produkte dafuer nicht nutzen.
Welche AWS-Bedrock-Region liegt Deutschland am naechsten?
Die primaere Region fuer deutsche Unternehmen ist eu-central-1 in Frankfurt. Dies ist die Standardwahl fuer Organisationen, die deutsche oder EU-nahe Datenverarbeitung benoetigen. Irland (eu-west-1) und Paris (eu-west-3) sind zusaetzliche EU-Optionen.
Aendert der Wechsel zu Bedrock die Rechtslage beim AVV?
Ja — der Wechsel zu Claude ueber AWS Bedrock bedeutet, dass der Hauptverarbeitungsvertrag auf AWS uebergeht, nicht auf Anthropic. Der AWS-AVV regelt die Infrastrukturschicht, und die Anthropic-Modellbedingungen gelten darueber hinaus. Das ist eine andere Rechtsstruktur als ein direkter Anthropic-Kauf und benoetigt eine eigene Pruefung.
Ist Google Vertex AI DSGVO-konform fuer Claude?
Vertex AI operiert im DSGVO-Rahmen von Google Cloud, der EU-Infrastruktur und eine AVV-Struktur bietet. Ob eine konkrete Claude-Bereitstellung ueber Vertex AI DSGVO-konform ist, haengt von Konfiguration, genutzter EU-Region und den Datenkategorien ab. Individuelle rechtliche Beratung ist empfehlenswert.
Reichen SCCs der direkten Anthropic API fuer Geschaeftsdaten aus?
Moeglicherweise, aber das erfordert eine fallbezogene Rechtsanalyse. SCCs sind ein gueltiger Transfermechanismus nach Kapitel V DSGVO, muessen aber durch ein Transfer Impact Assessment untersetzt sein. Ob SCCs fuer Ihre konkreten Datenkategorien und Ihr Risikoprofil ausreichen, ist eine Rechtsfrage — nicht eine Beschaffungsannahme. Wo EU-only-Verarbeitung vertraglich oder durch interne Richtlinie gefordert ist, genuegt die direkte Anthropic API nicht.
